Bonjour à tous,

Je suis sur Asus portable, j'utilise principalement Firefox, une version récente, et j'ai parfoisune pub qui apparait en un ou plusieurs exemplaires, dont voici un des liens hxxp://fla15.maxexp.com/tag1.html ; à l'ouverture du navigateur ou d'une nouvelle fenêtre.

J'ai fait une recherche avec les versions gratuites et à jour de Malewarbyte, de Glary Utilities et d'Anvira Antivir, sans que rien de suspect soit spécialement signalé.

Avez-vous une idée de comment débusquer la chose qui provoque ça ?

Merci d'avance !

«Lien modifié par la modération»

Bonjour

Pour faire un premier diagnostic, applique les deux propositions ci-dessous.

Malwarebytes Anti-Malware de RubbeR DuckY

Double-clique sur le fichier mbam-setup-1.60.exe (sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
-Mettre à jour Malwarebytes' Anti-Malware
-Exécuter Malwarebytes' Anti-Malware
Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Exécuter un examen rapide, clique sur le bouton

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

ZHPDiag de Nicolas Coolman sur ton bureau.

Clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.
Coche Installer une icône sur le bureau quand cela te sera proposé.

Lance l'icône ZHPDiag affichée sur le bureau

Dans l'interface, fais les trois opérations comme dans l'image ci-dessous:.



Laisse faire le scan jusqu'à ce que la barre de progression en bas soit à 100%. Ce message aura disparu.



Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.
Un fichier ZHPDiag.txt sera enregistré sur le bureau.

Tu l'héberges sur Cjoint en cochant 4 jours dans la ligne Et pour quelle durée ?
Tu me communiques le lien obtenu dans ta réponse.
Explications pour Cjoint

Deux tutos si nécessaire.
ZHPDiag
Cjoint

Si besoin est, nous ferons appel à d'autres outils.

@+

Bonsoir,

Merci beaucoup pour ta réponse et le mode opératoire, je poste tout cela quand ce sera fait.

Bonjour,

voici les éléments.

Pour info, Malwarebytes n'a rien détecté explicitement, mais quand j'ouvre mon Firefox, les mêmes pop-up / liens s'ouvrent mais Maleware bloque l'accès au site et me le signale.

Le rapport copié / collé de Malwarebytes

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.11.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Odoacre
PC-DE-ODOACRE [administrateur]

Protection: Activé

11/04/2012 19:36:17
mbam-log-2012-04-11 (19-36-17).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 230938
Temps écoulé: 12 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Le rapport hébergé : http://cjoint.com/data3/3DluuCyKMZU.htm

Merci pour ton aide !

Bonsoir,

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7.

Elle a été créée lors de l'installation de ZHPDiag.
Copie le contenu de l'encadré ci-dessous dans le presse-papier.

Clique sur le bouton Presse-papier encadré en rouge sur l'image.
Les lignes contenues dans le presse-papier vont s'afficher.
Clique sur le bouton GO en bas à gauche.
Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil par la croix rouge en haut à doite.


Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

Donne des infos sur le résultat.

@+

Bonsoir, voici le rapport (je n'ai pas élevé les privilèges pour Vista et Windows 7, ne sachant ce que ça voulait dire)

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre :
Run by Odoacre at 11/04/2012 23:23:41
Windows Vista Business Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Processus mémoire ==========
SUPPRIME Memory Process: D:\Logiciel\Suite CS3\BS\keygen_master.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\LdShih

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (None) : {AEFB9E04-AF6B-4A9C-A290-2BCB56F88CD1}
SUPPRIME FirewallRaz (None) : {6C81AAC9-C228-4B13-8A1B-715B15698CD8}
SUPPRIME FirewallRaz (Public) : TCP Query User{CDE2E428-6831-4871-B7D2-5D270D36550C}D:\jeux\warcraft iii - v2\war3.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{CEF82476-5925-4ECF-A2A8-4830E31C6EAD}D:\jeux\warcraft iii - v2\war3.exe
SUPPRIME FirewallRaz (Public) : {CC1E9A47-15CA-4028-9551-3AC4649FDE5E}
SUPPRIME FirewallRaz (Public) : {11873B6A-6EBC-42D0-B138-5BFDED640A7F}
SUPPRIME FirewallRaz (Public) : {544FB528-86EF-4998-BB4C-540B4CFF8F5C}
SUPPRIME FirewallRaz (Public) : {FBEB6E31-804E-4010-B583-71E0EF1DAD89}
SUPPRIME FirewallRaz (Public) : TCP Query User{B93CE709-9992-4B2D-9C6F-5C9FE71AC4EF}D:\jeux\alien vs predator\avp.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{2AD24E45-D929-4431-B5A4-C45884A5423E}D:\jeux\alien vs predator\avp.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{1AACEA8B-8FCE-46F5-A6A2-4DC9B7069FE3}D:\jeux\dofwrii\dow2\dow2.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{A9EA0E6F-F5E7-403B-A4CA-47DD41D32A07}D:\jeux\dofwrii\dow2\dow2.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{782994AD-1253-4E37-909D-47F65D191F2D}C:\program files\steam\steamapps\odoacre_de_corinthe\team fortress 2\hl2.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{DE3298F2-29F9-40BE-BF89-6A258942FBD7}C:\program files\steam\steamapps\odoacre_de_corinthe\team fortress 2\hl2.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{C967A0FC-2D7B-4CDC-B522-B49DCCD8A7D1}C:\neverwinternights\nwn\nwmain.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{83BBAAF4-E716-4C7C-A9B5-F64D9E6F4E1D}C:\neverwinternights\nwn\nwmain.exe
SUPPRIME FirewallRaz (Private) : TCP Query User{BA8424F4-1187-48F4-8724-9BD313FD3FCB}C:\program files\steam\steamapps\odoacre_de_corinthe\team fortress 2\hl2.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{CB56DE6C-8270-45FA-BD8F-DCF15F0CD5EE}C:\program files\steam\steamapps\odoacre_de_corinthe\team fortress 2\hl2.exe

========== Dossier(s) ==========
SUPPRIME Folder: c:\users\odoacre\appdata\roaming\adobe\plugs
SUPPRIME Folder: c:\users\odoacre\appdata\roaming\adobe\shed
SUPPRIME Temporaires Windows: : 338
SUPPRIME Flash Cookies: 1285

========== Fichier(s) ==========
SUPPRIME File: d:\logiciel\suite cs3\bs\keygen_master.exe
SUPPRIME Temporaires Windows: : 1354
SUPPRIME Flash Cookies: 598


========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
20 : Valeur(s) du Registre
4 : Dossier(s)
3 : Fichier(s)


End of clean in 00mn 23s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 11/04/2012 23:23:41 [3258]

Bonsoir,

Quel est l'impact sur ton problème ?

@+

Bonsoir,

J'ai lancé une ou deux fois Firefox, qui s'est ouvert sur un ancien onglet sans soucis, mais à la troisième ouverture, de nouveau le lien publicitaire dans la barre url, bloqué par Malewarebytes.

Pour info, je me suis cantonné, bête et discipliné, aux instructions laissées, je n'ai pas cliqué sur un bouton supplémentaire de nettoyage s'il y en avait, j'espère que j'ai pas oublié une étape implicite !

Bonjour,

Nettoie le cache de Firefox, par CTRL+MAJ+SUPPR.

Dis-moi ce que tu vois dans les modules complémentaires de Firefox, par CTRL+MAJ+A.

@+

Bonsoir,

J'ai nettoyé le cache comme tu m'as dit. Et ai relancé Firefox sans pop-up, mais reste méfiant puisque ça ne le faisait pas sytématiquement.

En faisant ctrl maj a je vois les extensions qui sont :

Browser companion helper, il est actif

Firebug, actif

FacePAD, désactivé

deux autres modules pointés comme incompatibles avec firefox 11.0 donc inactifs ;

Microsoft.net Framework Assistant 1.2.1

Skype click to call 5.6.0.8442

Tu as besoin de la liste des plugins aussi ?

Je confirme que la pop-up est toujours là.

Bonjour,

AdwCleaner de Xplode sur ton bureau

Lance l'outil en cliquant sur adwcleaner.exe.
Sous Vista et Windows 7 par un clic droit sur l'icône et Exécuter en tant qu'administrateur dans le menu contextuel
Clique sur le bouton Suppression



Poste le rapport qui s'ouvre en fin de nettoyage après avoir redémarré l'ordinateur.
Il sera enregistré sous C:\AdwCleaner[S1].txt

(Si tu as choisis Recherche le rapport sera C:\AdwCleaner[R1].txt
Chaque nouvelle utilisation de l'outil implémentera la numérotation des rapports [S2] [S3] [R2] [R3], etc.
R= Recherche, S=Suppression.)

@+

Bonjour !

Voici le rapport :

# AdwCleaner v1.505 - Rapport créé le 14/04/2012 à 13:01:04
# Mis à jour le 07/04/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Business Service Pack 2 (32 bits)
# Nom d'utilisateur : Odoacre - PC-DE-ODOACRE
# Exécuté depuis : D:\Logiciel\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Odoacre\AppData\LocalLow\bbrs_002.tb
Supprimé au redémarrage : C:\Program Files\BrowserCompanion
Dossier Supprimé : C:\Users\Odoacre\AppData\Roaming\Mozilla\FireFox\Profiles\c2bjw8mx.default\extensions\bbrs_002@blabbers.com

***** [H. Navipromo] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\BrowserCompanion
Clé Supprimée : HKLM\SOFTWARE\BrowserCompanion
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\LinkurySmartBar.DockingPanel
Clé Supprimée : HKLM\SOFTWARE\Classes\LinkurySmartBar.LinkurySmartBar
Clé Supprimée : HKLM\SOFTWARE\Classes\tdataprotocol.CTData
Clé Supprimée : HKLM\SOFTWARE\Classes\tdataprotocol.CTData.1
Clé Supprimée : HKLM\SOFTWARE\Classes\updatebho.TimerBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\updatebho.TimerBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wit4ie.WitBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\wit4ie.WitBHO.2
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\tdataprotocol.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\wit4ie.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\base64
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\chrome
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\prox
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{20EDC024-43C5-423E-B7F5-FD93523E0D9F}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Browser companion helper]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v11.0 (fr)

Nom du profil : default
Fichier : C:\Users\Odoacre\AppData\Roaming\Mozilla\FireFox\Profiles\c2bjw8mx.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v18.0.1025.152

Fichier : C:\Users\Odoacre\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Opera v11.50.1074.0

Fichier : C:\Users\Odoacre\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [4117 octets] - [14/04/2012 13:01:04]

########## EOF - C:\AdwCleaner[S1].txt - [4245 octets] ##########

La pop-up revenant, je me suis rendu compte que je n'avais pas exécuté le logiciel en tant qu'admin, j'ai donc refait l'opération, voici le rapport :

# AdwCleaner v1.505 - Rapport créé le 14/04/2012 à 13:45:53
# Mis à jour le 07/04/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Business Service Pack 2 (32 bits)
# Nom d'utilisateur : Odoacre - PC-DE-ODOACRE
# Exécuté depuis : D:\Logiciel\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [H. Navipromo] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v11.0 (fr)

Nom du profil : default
Fichier : C:\Users\Odoacre\AppData\Roaming\Mozilla\FireFox\Profiles\c2bjw8mx.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v18.0.1025.152

Fichier : C:\Users\Odoacre\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Opera v11.50.1074.0

Fichier : C:\Users\Odoacre\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [4246 octets] - [14/04/2012 13:01:04]
AdwCleaner[S2].txt - [1198 octets] - [14/04/2012 13:45:53]

########## EOF - C:\AdwCleaner[S2].txt - [1326 octets] ##########

Malewarebytes semble toujours bloquer des pages.

Le rapport vous apprend-il quelque chose ou faudrait-il que je reprenne toutes les étapes une à une pour voir ?

Bonnes vacances si vous y êtes^^

Bonjour

Si tu disposes de la version commerciale de Malwarebytes avec la protection résidente, c'est normal qu'il te bloque des pages si elles sont sur des IP en liste noire.

Cela ne vaut pas dire pour autant que ton pc es infecté.

@+

.
Bonjour tout le monde .

Juste pour confirmer ce que dit nardino et après je .

Sur des sites réputés pour être clean il arrive que MalwareBytes
en résident bloque l'accès à un site à la suite d'une Redir vers un
site "SNIFFER" .

Si tu utiles FireFox tu vas dans Outils ==> Options ==> avancé
tu coches Prévenir lorsque des sites WEB tentent de rediriger ...

Cette option est parfois un peu contraignante car elle oblige à faire
un clic supplémentaire pour le rafraichissement de certaines pages
mais pas toujours.

Cette option existe peut-être dans Internet Explorer mais comme
je ne l'utilise jamais je ne connais pas donc je ne sais pas.